18/01/18
Przepisy RODO mają na celu zapewnić dynamiczny charakter środków zabezpieczenia stosowanych przez administratorów, służących ochronie danych osobowych. W odróżnieniu od aktualnej koncepcji leżącej u podstaw dyrektywy 95/46/WE oraz krajowych rozwiązań implementacyjnych, nowe rozporządzenie nie określa minimalnych wymagań wobec administratora danych, by można było uznać, że jego działalność pozostaje zgodna z przepisami ochrony danych.
Tak zwanego wdrożenia RODO nie można sprowadzić tylko i wyłącznie do dostosowania istniejących zgód, klauzul informacyjnych i szablonów umów do zmienionych przepisów. Nie można ograniczyć się do przygotowania odpowiedniej dokumentacji technicznej lub przygotowania procedur, podobnych do tych, które są wymagane przepisami rozporządzenia MSWiA z 29.o4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Wdrożenia RODO nie można sprowadzić tylko i wyłącznie do dostosowania istniejących zgód, klauzul informacyjnych i szablonów umów do zmienionych przepisów. Nie można też ograniczyć się do przygotowania odpowiedniej dokumentacji technicznej lub przygotowania procedur
Przepisy RODO nakładają na administratorów obowiązek stosowania środków adekwatnych do stwierdzonych zagrożeń i ryzyk, a nie rozwiązań ustandaryzowanych, wskazanych w przepisach prawnych bez odniesienia do konkretnych procesów przetwarzania danych, kategorii danych czy też celów przetwarzania.
Zarówno w motywie 74 preambuły, jak i art. 24 RODO podkreśla się, że administrator powinien być w stanie wykazać, że czynności przetwarzania są zgodne z RODO oraz że środki wdrożone w celu ochrony danych są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.
Powyższa zmiana koncepcji podejścia do problematyki ochrony danych osobowych jest jednym z największych wyzwań stojących przed organizacjami przygotowującymi się do uzyskania zgodności z przepisami RODO.
W przypadku audytu prowadzonego przez regulatora lub wycieku danych, to administrator będzie musiał przedstawić jak oceniał swoje ryzyka, dlaczego doszedł do takich wniosków i jak je przełożył na odpowiednie zabezpieczenia organizacyjne oraz techniczne.